DE RISK MANAGEMENT NORM

D E R I S K M A N A G E M E N T N O R M

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

DE RISK MANAGEMENT NORM

2

InleidingDe Risk Management Standard of norm voorrisicobeheer is het gezamenlijke werk van debelangrijkste risicobeheersorganisaties in hetVerenigd Koninkrijk, met name het Institute ofRisk Management (IRM), de Association ofInsurance and Risk Managers (AIRMIC) enALARM, het nationale forum voor risicobeheerin de overheidssector.

Gedurende een lange periode van overleg heefthet team getracht de ideeën en meningen teachterhalen van tal van andereberoepsorganisaties met belangen inrisicobeheer.

Risicobeheer is een snel groeiende disciplineen er zijn vele en verschillende opvattingen enbeschrijvingen van wat risicobeheer inhoudt,hoe het dient te worden verwezenlijkt enwaartoe het dient. Een zekere mate vannormering is noodzakelijk om verzekerd te zijnvan een passend(e) :

• terminologie betrekking hebbend opgebruikte teksten

• proces waarlangs het risicobeheer kanworden uitgevoerd

• een organisatiestructuur voor risicobeheer• doelstelling van risicobeheer

Belangrijk daarbij is dat de norm zowel depositieve als de negatieve kanten van risicoonderkent.

Risicobeheer is niet alleen iets voorondernemingen of overheidsinstellingen, maarvoor elke activiteit zowel op korte als lange

termijn. De voordelen en kansen dienen nietalleen in de context van de activiteit zelf teworden gezien, maar ook in relatie met de veleen verschillende ‘partijen’ die erbij betrokkenkunnen zijn.

Er zijn vele manieren om de doelstellingen vanrisicobeheer te bereiken en het zou onmogelijkzijn om ze allemaal uiteen te zetten in eenenkel document. Vandaar dat het nooit debedoeling was om een dicterende norm teproduceren die uiteindelijk geleid zou hebbentot een checklist benadering of eencertificeerbaar proces. Het voldoen aan deverschillende samenstellende delen van denorm, zij het op verschillende manieren, geeftorganisaties de mogelijkheid te verklaren datde norm wordt nageleefd. De normvertegenwoordigt de 'best practice' waaraande organisaties zich kunnen meten.

Waar mogelijk heeft de norm gebruik gemaaktvan de terminologie inzake risicobeheervastgelegd door de Internationale Organisatievoor Normalisatie (ISO) in haar recentedocument ISO/IEC Guide 73 Risk Management- Vocabulary - Guidelines for use in standards.

Gezien de snelle ontwikkelingen op dit gebiedwordt feedback van organisaties naarmate zede norm toepassen op prijs gesteld door deauteurs (zie achterzijde van deze Gids vooradressen). Het is de bedoeling om de normgeregeld aan te passen aan de 'best practice'.


3

1. Risico Risico kan worden omschreven als decombinatie van de waarschijnlijkheid van eengebeurtenis en de gevolgen ervan (ISO/IECGuide 73).

In alle soorten organisaties bestaat demogelijkheid dat gebeurtenissen en gevolgeneen mogelijkheid voor winst (positief ) of eendreiging tot verlies (negatief )vertegenwoordigen.

Risicobeheer wordt in toenemende mateerkend als een proces dat rekening houdt metzowel de positieve als negatieve aspecten vanrisico. Om die reden beschouwt deze normrisico vanuit de beide gezichtspunten.

Op het vlak van veiligheid is het algemeenerkend dat gevolgen alleen negatief kunnenzijn. Vandaar dat het beheer vanveiligheidsrisico's gericht is op de preventie ende beperking van schade.

2. RisicobeheerRisicobeheer vormt een centraal onderdeel vanhet strategische beheer van elke organisatie.Het is het proces waarmee organisaties derisico's verbonden aan hun activiteitenmethodisch aan de orde stellen met debedoeling om binnen elke activiteit en over detotale portefeuille van activiteiten eenduurzaam voordeel te bereiken.

Goed risicobeheer is toegespitst op deidentificatie en de behandeling van die risico's.Het is de bedoeling om zoveel mogelijkduurzame waarde aan alle activiteiten van deorganisatie toe te voegen. Het ordent hetinzicht in de potentiële positieve en negatieveaspecten van alle factoren die de organisatiekunnen beïnvloeden. Het vergroot de kans opsucces en verkleint zowel de kans op falen en

de onzekerheid rond het al dan niet behalenvan de algemene doelstellingen van deorganisatie. Risicobeheer dient een continu en evoluerendproces te zijn dat in alle opzichten geldt voorde strategie van de organisatie en deuitvoering van die strategie. Het dientsystematisch alle risico's die verband houdenmet de activiteiten van de organisaties uit hetverleden, het heden en vooral de toekomst aande orde te stellen.

Het dient geïntegreerd te zijn in de cultuur vande organisatie door middel van een effectiefbeleid en een programma dat geleid wordtdoor het topmanagement. Het dient destrategie te vertalen in tactische enoperationele doelstellingen door in heel deorganisatie verantwoordelijkheden toe tewijzen, waarbij elke leidinggevende enwerknemer verantwoordelijk is voorrisicobeheer als onderdeel van defunctieomschrijving. Het ondersteuntverantwoordelijkheid, prestatiemeting enbeloning, en stimuleert zo de operationeledoeltreffendheid op alle niveaus.

2.1 Externe en interne factorenDe risico's waarmee een organisatie en haaractiviteiten te maken hebben, kunnenvoortvloeien uit factoren die zowel binnen alsbuiten de organisatie liggen.

De grafiek op de volgende pagina vat enkelevoorbeelden samen van de voornaamsterisico's in die gebieden en toont aan dat aansommige specifieke risico's zowel externe alsinterne factoren ten grondslag kunnen liggen,waardoor de risico's de twee gebiedenoverlappen. De risico's kunnen verder incategorieën worden ondergebracht zoalsstrategisch, financieel, operationeel, gevaar,enz.



4


2.1 Voorbeelden van de drijvende factoren van de voornaamste risico's

EXTERN GEDREVEN

EXTERN GEDREVEN

FINANCIËLE RISICO’S STRATEGISCHE RISICO'S

OPERATIONELERISICO’S GEVAREN RISICO’S

RENTE TARIEVENVALUTAKOERSENKREDIET

CONCURRENTIEWIJZIGINGEN BIJ AFNEMERS

WIJZIGINGEN IN DE INDUSTRIEEISEN VAN AFNEMERS

INTEGRATIE NA FUSIEEN OVERNAMES

LIQUIDITEITEN &CASHFLOW

RESEARCH & ONTWIKKELINGKENNIS

INTERN GEDREVEN

CONTROLE MECHANISMENINFORMATIE SYSTEMEN

(PERSONEELS-) WERVINGAAN- EN AFVOERKETENS

OPENBARE TOEGANGWERKNEMERSBEZITTINGENPRODUCTEN &DIENSTEN

REGELGEVINGCULTUURSAMENSTELLINGVAN DE RAAD VAN BESTUUR

CONTRACTENNATUUREVENEMENTEN

TOELEVERANCIERSMILIEU


5

Risicobeheer beschermt en voegt waarde toeaan de organisatie en haar ‘partijen’ door dedoelstellingen van de onderneming teondersteunen door:

• aan een organisatie een structuur te biedenaan de hand waarvan toekomstigeactiviteiten kunnen plaatsvinden op eenconsistente en gecontroleerde manier

• het besluitvormingsproces, de planning ende prioritering te verbeteren door een breeden gestructureerd inzicht in debedrijfsactiviteit, de volatiliteit en deopportuniteit/het gevaar van een project

• bij te dragen tot een efficiëntergebruik/toewijzing van kapitaal enmiddelen binnen de onderneming

• de volatiliteit in de niet-essentiële gebiedenvan de onderneming te verminderen

• de bezittingen en het bedrijfsimago tebeschermen en te versterken

• het ontwikkelen en ondersteunen vanpersoneel en het kennisbestand van deonderneming

• de operationele effectiviteit teoptimaliseren


2.2 Het risicobeheersproces

Aan

pas

singen

(Acc

ounta

nts

) co

ntr

ole

Strategische doelstellingenvan de organisatie

Risico-inschatting

RisicoanalyseRisico-identificatie RisicobeschrijvingRisicobeoordeling

Risico-evaluatie

RisicorapporteringGevaren en Mogelijkheden

Beslissing

Risicobehandeling

Rapportering restrisico

Toezicht


6

3. RisicobeoordelingRisico-inschatting wordt door de ISO/IEC Guide73 omschreven als het overkoepelende procesvan risicoanalyse en risicobeoordeling.(zie bijlage)

4. Risicoanalyse

4.1 Risico-identificatieRisico-identificatie tracht de blootstelling vaneen organisatie aan onzekerheid te identificeren.Daarvoor is een grondige kennis vereist van deorganisatie, de markt waarin de organisatiewerkzaam is, en de juridische, sociale, politiekeen culturele omgeving waarin de organisatieexisteert, alsmede de ontwikkeling van een goedinzicht in de strategische en operationelebedrijfsdoelstellingen, waaronder de kritischesuccesfactoren van die doelstellingen en degevaren en opportuniteiten die verband houdenmet de verwezenlijking ervan.

Risico-identificatie dient op een systematischemanier te worden aangepakt zodat alle belangrij-ke activiteiten binnen de organisatie geïdentifi-ceerd kunnen worden en alle risico's voortvloei-end uit die activiteiten afgebakend kunnen wor-den. Alle verwante volatiliteit met betrekking totdie activiteiten dient te worden geïdentificeerden gecategoriseerd.

Bedrijfsactiviteiten en -besluiten kunnen op ver-schillende manieren worden ingedeeld, zoalsbijvoorbeeld:

• Strategisch - betreft de strategische doelstel-lingen van de organisatie op lange termijn.Zij kunnen beïnvloed worden door factorenals beschikbaarheid van kapitaal, soevereineen politieke risico's, wettelijke en regelge-vende wijzigingen, reputatie en veranderin-gen in de fysieke omgeving

• Operationeel – betreft de dagelijkse aangele-genheden waarmee de organisatie wordtgeconfronteerd terwijl zij haar strategischedoelstellingen tracht te behalen

• Financieel – betreft het effectief beheer vanen toezicht op de financiën van de organisa-tie en de effecten van externe factoren zoals

beschikbaarheid van krediet, wisselkoersen,rentebewegingen en andere marktblootstel-lingen

• Kennisbeheer – betreft het doeltreffendbeheer van en toezicht op de kennismidde-len, alsook de totstandbrenging, bescher-ming en communicatie ervan. Externe facto-ren omvatten onder meer het ongeoorloofdegebruik of misbruik van intellectuele eigen-dom, stroomstoringen in het net en concurre-rende technologie. Mogelijke voorbeeldenvan interne factoren zijn systeemstoring ofverlies van belangrijk personeel.

• Naleving (van wet en regelgeving) – betreftzaken zoals veiligheid en gezondheid, milieu,handelsvoorschriften, consumentenbescher-ming, gegevensbescherming, werkaangele-genheden en regelgevende zaken

Hoewel de risico-identificatie kan worden uitge-voerd door externe consultants, zal een internebenadering aan de hand van duidelijk gecommu-niceerde, consistente en gecoördineerde proces-sen en hulpmiddelen (zie bijlage, pagina 14)doorgaans effectiever zijn. Intern 'ownership'van het risicobeheersproces is van essentieelbelang.

4.2 RisicobeschrijvingHet doel van de risicobeschrijving is de geïdenti-ficeerde risico's weer te geven in een gestructu-reerde indeling, bijvoorbeeld door middel vaneen tabel. De risicobeschrijvingstabel op de vol-gende pagina kan worden gebruikt om debeschrijving en inschatting van de risico's te ver-gemakkelijken. Het gebruik van een goed ont-worpen structuur is nodig om een uitvoerige risi-co-identificatie, -beschrijving en -inschatting tegaranderen. Door rekening te houden met hetgevolg en de waarschijnlijkheid van elk van derisico's uiteengezet in de tabel, moet het moge-lijk zijn om de voornaamste risico's die meer indetail geanalyseerd dienen te worden, te priore-tiseren. De identificatie van de risico's gekop-peld aan de bedrijfsactiviteiten en het besluitvor-mingsproces kunnen worden gecategoriseerd alsstrategisch, projectgebonden/tactisch en ope-rationeel. Het is belangrijk om het risicobeheerniet alleen in de beginfase van een project teintegreren, maar ook tijdens de eigenlijke ver-wezenlijking ervan.



7

4.3 RisicoschattingRisicoschatting kan kwantitatief, semi-kwantitatief of kwalitatief zijn ten opzichte vande waarschijnlijkheid dat de gebeurtenis zalplaatsvinden en het mogelijke gevolg ervan.

Gevolgen kunnen bijvoorbeeld in termen vanzowel gevaar (negatief risico) alsopportuniteiten (positief risico) hoog,middelmatig of laag zijn (zie tabel 4.3.1).Waarschijnlijkheid kan hoog, middelmatig oflaag zijn maar vereist verschillende definitiesmet betrekking tot gevaren en opportuniteiten(zie tabellen 4.3.2 en 4.3.3).

Voorbeelden zijn gegeven in de tabellen op devolgende pagina. De maatstaven van gevolg enwaarschijnlijkheid kunnen verschillen van deene tot de andere organisatie.

Heel wat organisaties vinden bijvoorbeeld dathet inschatten van gevolg en waarschijnlijkheidals zijnde hoog, middelmatig of laag ruimvoldoet aan hun behoeften en in een 3x3-matrix kan worden voorgesteld.

Andere organisaties vinden dan weer dat hetinschatten van gevolg en waarschijnlijkheiddoor middel van een 5x5-matrix voor hen hetbeste resultaat oplevert.


4.2.1 Tabel - Risicobeschrijving

1. Benaming van het risico

2. Draagwijdte van het risico

3. Aard van het risico

4. ‘stakeholders’

5. Risicoweging

6. Risicotolerantie

7. Risicobehandeling &controlemechanismen

8. Potentiële maatregel voorverbetering

9. Strategie enbeleidsontwikkelingen

Kwalitatieve beschrijving van de gebeurtenissen, hun omvang,type, aantal en afhankelijkheid

bijv. strategisch, operationeel, financieel, kennis of naleving vanwet en regelgeving

‘stakeholders’ en hun verwachtingen

Belang en waarschijnlijkheid

Kans op verlies en financiële impact van het risicoValue at riskWaarschijnlijkheid en omvang van de potentiële verliezen/winstenDoelstelling(en) voor controle van het risico en gewenstprestatieniveau

Basismiddelen aan de hand waarvan het risico momenteel wordtbeheerdBetrouwbaarheidsniveaus van bestaande controleIdentificatie van protocollen voor toezicht en revisie

Aanbevelingen om risico te verkleinen

Identificatie van de functie verantwoordelijk voor het ontwikkelenvan de strategie en het beleid


8


Tabel 4.3.1 Gevolgen - Zowel dreigingen als mogelijkheden

Hoog

Middelmatig

Laag

De financiële impact op de organisatie zal naar alle waarschijnlijkheid hoger zijn dan €x Belangrijke impact op de strategie of operationele activiteiten van de organisatie Belangrijke bezorgdheid van “partijen”

De financiële impact op de organisatie zal vermoedelijk tussen €x en €y schommelenMatige impact op de strategie of operationele activiteiten van de organisatieMatige bezorgdheid van “partijen”

De financiële impact op de organisatie zal naar alle waarschijnlijkheid lager zijn dan €xLage impact op de strategie of operationele activiteiten van de organisatie Lage bezorgdheid van “partijen”

Tabel 4.3.2 Kans van optreden – Gevaren

Schatting

Hoog (Waarschijnlijk)

Middelmatig(Mogelijk)

Laag (Gering)

Beschrijving

Zal naar alle waarschijnlijkheid elkjaar plaatsvinden of meer dan 25%kans van optreden.

Zal naar alle waarschijnlijkheid ineen periode van tien jaarplaatsvinden of minder dan 25%kans van optreden.

Zal waarschijnlijk niet plaatsvindenin een periode van tien jaar ofminder dan 2% kans van optreden.

Indicatoren

Mogelijkheid dat de gebeurtenis zichmeerdere keren binnen de periode vantijd voordoet (bijvoorbeeld - tien jaar)Heeft zich recent voorgedaan.

Zou meer dan een keer binnen deperiode van tijd kunnen plaatsvinden(bijvoorbeeld - tien jaar).Is moeilijk te beheersen als gevolg vaneen aantal externe invloeden.Bestaat er een historiek van hetgebeuren ?

Heeft zich nog niet voorgedaan Zal waarschijnlijk niet plaatsvinden .


9


4.4 Methoden en technieken voorrisicoanalyseOm de risico's te analyseren, kunnenverschillende technieken worden gebruikt. Dietechnieken kunnen kenmerkend zijn voor hetpositieve risico of het negatieve risico ofkunnen voor beiden worden aangewend. (ziebijlage).

4.5 RisicoprofielAan de hand van het resultaat van derisicoanalyse kan een risicoprofiel wordenaangemaakt dat aan elk risico een waardecijfergeeft en een hulpmiddel biedt aan de handwaarvan kan worden bepaald aan welkerisico's eerst aandacht dient te wordenbesteed. Het resultaat van de risicoanalysekan worden gebruikt om een risicoprofiel tevervaardigen waarbij een volgorde van belangaan elk risico kan worden toegekend en een

hulpmiddel wordt gegeven voor het vaststellenvan de prioriteiten bij derisicobehandelingsinspan-ningen. Op diemanier wordt elk geïdentificeerd risicogerangschikt en ontstaat een beeld van hetrelatieve belang.

Dankzij dit proces kan het risico voor hetbetreffende bedrijfsonderdeel in kaart wordengebracht, kan de geldende primairebeheersprocedure worden beschreven enkunnen de gebieden worden aangegeven waarhet niveau van risicobeheer investeringenverhoogd, verlaagd of herverdeeld kan worden.

Het toekennen van verantwoordelijkheidbevordert dat het 'ownership' van het risicowordt erkend en dat het passendebeheersmiddel wordt toegewezen.

Tabel 4.3.3 Kans van optreden - Mogelijkheden

Schatting

Hoog (Waarschijnlijk)

Middelmatig(Mogelijk)

Laag (Gering)

Beschrijving

Gunstig resultaat zal naar allewaarschijnlijkheid worden behaaldin een jaar of meer dan 75% kansvan optreden.

Redelijke vooruitzichten op gunstigeresultaten in een jaar of 25% tot75% kans van optreden.

Enige kans van gunstig resultaat ophalflange termijn of minder dan 25%kans van optreden.

Indicatoren

Duidelijke opportuniteit waarop kanworden vertrouwd met redelijkezekerheid, op korte termijn te behalen opgrond van de huidige beheersprocessen.

Opportuniteiten die haalbaar zijnmaar een voorzichtig beheer vereisen. Opportuniteiten die boven deplanning kunnen uitkomen.

Mogelijke opportuniteit die nogvolledig onderzocht dient worden doorhet management.Opportuniteit waarvoor de kans opsucces laag is op grond van debeheersmiddelen die momenteeltoegepast worden.


10

5. RisicobeoordelingZodra de risicoanalyse voltooid is, dienen degeraamde risico's te worden vergeleken met risi-cocriteria die door de organisatie bepaald wer-den. De risicocriteria kunnen zowel verwantekosten en baten, wettelijke vereisten, sociaal-economische en milieufactoren, als ‘stakehol-ders’ interesses, enz. omvatten. De risicobeoor-deling wordt bijgevolg gebruikt om beslissingente nemen over het belang van de risico's voor deorganisatie en om te bepalen of elk specifiek risi-co al dan niet dient te worden aanvaard ofbehandeld.

6. RisicobehandelingRisicobehandeling is het proces van het selecte-ren en implementeren van maatregelen om hetrisico te wijzigen. Risicobehandeling kent alsvoornaamste elementen risicobeheersing/-beperking, maar strekt zich uit tot bijvoorbeeldrisicovermijding, risico-overdracht, risicofinancie-ring, enz.

OPMERKING: in deze norm verwijst risicofinan-ciering naar de mechanismen (bijv. verzeke-ringsprogramma's) om de financiële gevolgenvan het risico te financieren. Als risicofinancie-ring wordt doorgaans niet beschouwd het ver-schaffen van fondsen nodig om de kosten voorhet in praktijk brengen van de risicobehande-ling te dekken (zoals bepaald door ISO/IECGuide 73).

Elk systeem van risicobehandeling dient op zijnminst te voorzien in:

• een effectieve en efficiënte uitvoering van deorganisatie

• effectieve interne controlemaatregelen

• de naleving van wet en regelgeving

Het risicoanalyse proces draagt bij tot het effec-tief en efficiënt beheer van de organisatie doorjuist die risico's te identificeren waaraan hetmanagement aandacht dient te besteden. Zij zul-len prioriteit dienen te geven aan risicobeheers-maatregelen met betrekking tot hun potentie omaan de organisatie ten goede te komen.

Effectiviteit van interne controle is de mate waar-in het risico ofwel geëlimineerd ofwel verkleindzal worden door de voorgestelde controlemaat-regelen.

Rendabiliteit van interne controle verwijst naarde kosten voor het implementeren van decontrole vergeleken met de verwachte voordelenvan de risicovermindering.

De voorgestelde controlemaatregelen dienen teworden gemeten in termen van potentieel eco-nomisch effect indien er geen actie wordt onder-nomen vergeleken met de kosten van de voor-gestelde maatregel(en), en vereisen steevastmeer uitgebreide informatie en veronderstellin-gen dan onmiddellijk beschikbaar zijn.

In eerste instantie dienen de implementatiekos-ten te worden bepaald. Dit dient met enige preci-sie te worden berekend, aangezien op gronddaarvan de rendabiliteit zal worden gemeten.Daarnaast dient ook het verlies te worden bere-kend dat verwacht wordt indien er geen maatre-gelen worden genomen. Door de resultaten tevergelijken, kan het management beslissen of derisicocontrolemaatregelen wel of niet zullen wor-den toegepast.

De naleving van wet en regelgeving is geenoptie. Dat betekent dat een organisatie de toe-pasbare wetten dient te begrijpen en een sys-teem van controlemaatregelen dient uit te wer-ken om de naleving van die wetten tot stand tebrengen. Slechts nu en dan kan er enige flexibili-teit worden betracht wanneer de kosten voor hetbeperken van een risico volkomen onevenredigzijn aan dat risico.

Een methode voor het verkrijgen van financiëlebescherming tegen de impact van risico's is risi-cofinanciering, waaronder begrepen verzekering.Echter dient men zich ervan bewust te zijn datbepaalde verliezen of onderdelen van een verliesonverzekerbaar zijn bijvoorbeeld de onverzeker-de kosten gekoppeld aan werkgerelateerdegezondheid, veiligheid of milieu-incidenten, diemede schade kunnen berokkenen aan de moraalvan werknemers of aan de reputatie van de orga-nisatie.



11

7. Risicoverslaglegging en -communicatie

7.1 Interne verslagleggingDe verschillende niveaus binnen eenorganisatie hebben behoefte aan verschillendeinformatie afkomstig uit hetrisicobeheerproces.

De Raad van Bestuur dient:

• kennis te hebben van de voornaamsterisico's waaraan de organisatie blootstaat

• te weten wat de mogelijke effecten zijn opde aandeelhouderswaarde van afwijkingenop de verwachte prestatie

• passende niveaus van bewustzijn door heelde organisatie te garanderen

• te weten hoe de organisatie een crisis zalbeheersen

• te weten wat het belang is van hetvertrouwen van de ‘stakeholders’ in deorganisatie

• te weten hoe te communiceren met debeleggersgemeenschap indien vantoepassing

• ervan verzekerd te zijn dat hetrisicobeheerproces effectief werkt

• een duidelijk risicobeheerbeleid tepubliceren dat de filosofie en deverantwoordelijkheden van het risicobeheerafdekt

De bedrijfsonderdelen dienen:

• bewust te zijn van de risico's die onder hunverantwoordelijkheid vallen, van demogelijke impact die de risico's kunnenhebben op andere bedrijfsonderdelen en deuitwerkingen die andere bedrijfsonderdelenop hen kunnen hebben

• over prestatie-indicatoren te beschikken diehen in staat stellen om toezicht te houden

op de voornaamste bedrijfs- en financiëleactiviteiten, het toewerken naardoelstellingen en het identificeren vanontwikkelingen die interventie vereisen(bijv. verwachtingen en budgetten)

• over systemen te beschikken die op juistetijdstippen afwijkingen in de budgetten enverwachtingen signaleren zodat de nodigemaatregelen genomen kunnen worden

• systematisch en onmiddellijk verslag uit tebrengen bij het topmanagement overwaargenomen nieuwe risico's of gebrekenin de bestaande controlemaatregelen

Individuele personen dienen:

• te begrijpen hoe ze kunnen zorg dragenvoor het voortdurend verbeteren van hetrisicobeheerproces

• zich ervan bewust te zijn dat risicobeheeren risicobewustzijn een essentieelonderdeel zijn van de cultuur van deorganisatie

• systematisch en onmiddellijk verslag uit tebrengen aan het topmanagement overwaargenomen nieuwe risico's of gebrekenin de bestaande controlemaatregelen

7.2 Externe verslagleggingEen onderneming dient op regelmatigetijdstippen verslag te doen aan haar‘stakeholders’ over haar risicobeheerbeleid ende effectiviteit in het behalen van haardoelstellingen.

In toenemende mate vertrouwen ‘stakeholders’erop dat organisaties bewijs leveren van eeneffectief beheer van de niet-financiëleprestaties van de organisatie op het gebied vanpublieke aangelegenheden, mensenrechten,werkgerelateerde praktijken, gezondheid enveiligheid, en het milieu.



12

Een goed corporate governance vereist datorganisaties een methodische benadering vanrisicobeheer toepassen die:

• de belangen van hun ‘stakeholders’beschermt

• garandeert dat de Raad van Bestuur haartaken vervult ten aanzien van het leidinggeven over de strategie, waarde creëert entoezicht houdt op het resultaat van deorganisatie

• garandeert dat er beheerscontroles vankracht zijn die naar behoren werken

De afspraken voor de formele rapportering overrisicobeheer dienen duidelijk omschreven te zijnen toegankelijk te zijn voor alle ‘stakeholders’.

De formele rapportering dient te behandelen:

• de controlemethoden – in het bijzonderverantwoordelijkheden van hetmanagement voor risicobeheer

• de werkwijzen toegepast om de risico's teidentificeren en hoe die werkwijzen wordenaangepakt door de risicobeheerssystemen

• de voornaamste controlesystemen vankracht om belangrijke risico's te beheren

• het van kracht zijnde systeem voor controleen revisie

Alle belangrijke gebreken aan het lichtgebracht door het systeem, of in het systeemzelf, dienen te worden gemeld samen met demaatregelen om die gebreken aan te pakken.

8. De structuur en administratievan risicobeheer.

8.1 RisicobeheerbeleidBij het opstellen van een risicobeheerbeleiddient een organisatie haar benadering van enzin voor risico af te bakenen, alsook haarbenadering ten opzichte van risicobeheer.Daarnaast dient het beleid ook te bepalen wiebinnen de organisatie verantwoordelijk is voorrisicobeheer.

Voorts dient het beleid ook te refereren aan dewettelijke vereisten waaraanbeleidsverklaringen dienen te voldoen, bijv. ophet gebied van gezondheid en veiligheid.Inherent aan het risicobeheer is een geheel vanhulpmiddelen en technieken die toegepastkunnen worden in de verscheidene stadia vanhet bedrijfsproces.

Om effectief te kunnen zijn vereist hetrisicobeheerproces:

• betrokkenheid van de algemene directeuren de topleidinggevenden van deorganisatie

• toewijzing van de verantwoordelijkhedenbinnen de organisatie

• toewijzing van de geschikte middelen voortraining en ontwikkeling van een groterrisicobewustzijn door alle ‘stakeholders’

8.2 Rol van de Raad van Bestuur (Directie)De Raad van Bestuur (Directie) isverantwoordelijk voor het bepalen van destrategische richting van de organisatie en voorhet creëren van de omgeving en de structurenwaarbinnen het risicobeheer doeltreffend kanfunctioneren.

Dat kan via een leidinggevende groep, eenniet-leidinggevend comité, een auditcommissieof een dergelijke functie die past bij dewerkwijze van de organisatie en in staat is omals een ‘sponsor’ voor risicobeheer op tetreden.

De Raad van Bestuur (Directie) dient bij debeoordeling van haar systeem van internecontrole op zijn minst rekening te houden met:

• de aard en de omvang van de negatieverisico's die voor de organisatieaanvaardbaar zijn binnen haar specifiekeactiviteit

• de waarschijnlijkheid dat die risico'swerkelijkheid worden

• de manier waarop dient te wordenomgegaan met onaanvaardbare risico's



13

• het vermogen van de organisatie om dewaarschijnlijkheid en de impact op haaractiviteiten te minimaliseren

• de kosten en baten van het risico en decontrolemaatregel die ondernomen werd

• de doeltreffendheid van hetrisicobeheerproces

• de risicodragende gevolgen vanbestuursbesluiten

8.3 Rol van de business unitsDit omvat het volgende:

• de business units hebben de primaireverantwoordelijkheid voor het dagelijksebeheer van de risico's

• het management van de business unit isverantwoordelijk voor het bevorderen vanhet risicobewustzijn binnen de activiteit;het dient doelstellingen inzake risicobeheerin hun activiteit in te voeren

• risicobeheer dient een punt te zijn op deagenda van de vastemanagementvergadering zodat aandachtwordt gegeven aan en er nieuweprioriteiten kunnen worden gegeven aanhet werk in het licht van een efficiënterisicoanalyse

• het management van de business unit dientervoor te zorgen dat het risicobeheergeïntegreerd is in de conceptuele fasealsmede gedurende de looptijd van eenproject

8.4 Rol van het risicobeheerFunctieAfhankelijk van de grootte van de organisatiekan de risicobeheerfunctie variëren van eenenkele ‘risicovoorvechter’, een parttimerisicomanager tot een volledigerisicobeheerafdeling.

De risicobeheerfunctie dient onder meer hetvolgende te omvatten:

• uitwerken van een beleid en strategie voorrisicobeheer

• voornaamste voorvechter van risicobeheerop strategisch en operationeel vlak

• ontwikkelen van een cultuur vanrisicobewustzijn binnen de organisatie,inclusief benodigde opleiding

• vastleggen van een intern risicobeleid enstructuren voor de business units

• ontwerpen en herzien van processen voorrisicobeheer

• coördineren van de verschillendefunctionele activiteiten die advies verlenenover risicobeheerkwesties binnen deorganisatie

• uitwerken van risicoresponsmethoden,waaronder rampen- enbedrijfscontinuïteitsplannen

• voorbereiden van risicoverslagen voor deRaad van Bestuur en de ‘stakeholders’

8.5 Rol van de Interne AuditDe rol van de Interne Audit is doorgaansverschillend naargelang de organisatie.

In praktijk kan de rol van Interne Auditbestaan uit sommige of alle hierna genoemdeelementen:

• de interne audit activiteiten focussen op debelangrijke risico's, geïdentificeerd door hetmanagement, en de risicobeheerprocessenbinnen de volledige organisatie controleren

• zekerheid bieden inzake het beheer van derisico's

• actieve ondersteuning en betrokkenheidbieden in het risicobeheerproces

• risico-identificatie/-inschatting makkelijkermaken en het personeel opleiden op hetvlak van risicobeheer en interne controle

• coördineren van de risicorapportering aande Raad, de auditcommissie, enz

Bij het bepalen van de meest geschikte rol vooreen bepaalde organisatie dient Interne Auditervoor te zorgen dat de professionele vereistenvoor onafhankelijkheid en objectiviteit nietgeschonden worden.



14

8.6 Middelen en implementatieDe middelen nodig om het risicobeheerbeleidvan een organisatie in praktijk te brengen,dienen duidelijk te worden vastgesteld op elkmanagementniveau en binnen elke businessunit.

Naast de eventuele andere operationelefuncties die ze kunnen hebben, dienendegenen die betrokken zijn bij risicobeheer hunrol bij het coördineren van bij hetrisicobeheer/strategie duidelijk omschreven tehebben. Diezelfde duidelijke omschrijving iseveneens vereist voor degenen die betrokkenzijn bij de audit en revisie van de internecontroles en het bevorderen van hetrisicobeheerproces.

Het risicobeheer dient in de organisatieverankerd te zijn door middel van de strategie-en budgetprocessen. Er dient aandacht aan teworden besteed tijdens introductiecursussenen alle andere opleidingen en vormingen,alsook binnen de operationele processen bijv.product-/dienstenontwikkelingsprojecten.

9. Toezicht en revisie van hetrisicobeheerproces.Een doeltreffend risicobeheer vereist eenrapporterings- en revisiestructuur om tegaranderen dat de risico's doeltreffendgeïdentificeerd en ingeschat worden en dat depassende controlemaatregelen en respons zijnaangebracht. Het beleid dient geregeld

onderworpen te worden aan audits en ook denaleving van de normen dient op regelmatigetijdstippen te worden getoetst, ommogelijkheden voor verbetering teidentificeren. Daarbij mag niet uit het oogworden verloren dat organisaties dynamischzijn en in dynamische omgevingen werkzaamzijn. Wijzigingen in de organisatie en in deomgeving waarin ze werkzaam is, dienen teworden geïdentificeerd en waar nodig dienende systemen te worden aangepast.

Het toezichtproces dient de garantie te biedendat de activiteiten van de organisatie oppassende wijze worden gecontroleerd en datde procedures begrepen zijn en wordennageleefd. Wijzigingen in de organisatie en inde omgeving waarin ze werkzaam is, dienen teworden geïdentificeerd en waar nodig dienende systemen te worden aangepast.

Elk toezicht- en revisieproces dient eveneensvast te stellen of :

• de toegepaste maatregelen het verwachteresultaat opleverden

• de toegepaste procedures en de informatieverzameld voor de beoordeling geschiktwaren

• een grondiger kennis geholpen zou hebbenom betere beslissingen te nemen en welkelessen eruit kunnen worden getrokken voortoekomstige beoordelingen en beheer vanrisico's


BIJLAGE

15

10. BijlageTechnieken voor risico-identificatie -voorbeelden

• brainstorming

• vragenlijsten

• bedrijfsstudies die elk bedrijfsprocesafzonderlijk bekijken en zowel de interneprocessen als de externe factorenbeschrijven die een invloed kunnen hebbenop die processen

• benchmarking

• scenarioanalyse

• workshops over risicobeoordeling

• incidentonderzoek

• audit en inspectie

• HAZOP-studies (Hazard & Operability)

Methoden en technieken voor risicoanalyse -voorbeelden

Positief risico• marktonderzoek

• prospectie

• testmarketing

• onderzoek en ontwikkeling

• bedrijfsimpactanalyse

Beide

• Dependency Modelling

• SWOT-analyse (Strengths, Weaknesses,Opportunities, Threats)

• gebeurtenissenboomanalyse (Event TreeAnalysis of ETA)

• bedrijfscontinuïteitsplanning

• BPEST-analyse (Business, Political,Economic, Social, Technological)

• Real Option Modelling

• besluitvorming onder omstandigheden vanrisico en onzekerheid

• statistische gevolgtrekking

• maatstaven van centrale tendens enspreiding

• PESTLE (Political Economic Social TechnicalLegal Environmental)

Negatief risico

• dreiging-analyse

• foutenboomanalyse (Fault Tree Analysis ofFTA)

• FMEA (Failure Mode & Effect Analysis)


FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

FERMA – Avenue Louis Gribaumont, 1 / B.4 – 1150 BRUSSELS - BELGIUMTEL: +32 2 761 94 32 – FAX: +32 2 771 87 20 – EMAIL: [email protected] – WEBSITE: www.ferma.eu

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel : + 34 91 562 84 25 – Fax : + 34 91 590 07 80 – Email : [email protected] – www.agers.es

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel : + 44 207 480 76 10 – Fax : + 44 207 702 37 52 – Email : [email protected] – www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel : + 33 1 42 89 33 16 – Fax : + 33 1 42 89 33 14 – Email : [email protected] – www.amrae.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Via del Gonfalone 3, I-20123 Milano - ITALYTel : + 39 02 58 10 33 00 – Fax : + 39 02 58 10 32 33 – Email : [email protected] – www.anra.it

APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – PORTUGALTel : + 351 22 608 24 62 – Fax: + 351 22 608 24 73 – E-mail : [email protected] – www.apogeris.pt

ASPAR CR - Association of Insurance and Risk Management of the Czech Republic o.s. Nad Ohradou 7 – 13000 Praha 3 – Tel : + 420 602 384 256 – Email: [email protected]

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel : + 32 2 389 23 95 – Fax : + 32 2 389 22 72 – Email : [email protected] – www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften e.V.c/o Mr Hans-Otto GEIGER – Postfach 1916 – D-67209 Frankenthal – GERMANYTel : + 49 6233 86 2507 - Fax : + 49 6233 86 2507 - Email : [email protected] – www.bfv-fvv.de

BRIMA - Bulgarian Risk Management Association101, Tzarigradsko chausse, floor 4 – Sofia 1113 – BULGARIATel : + 359 878 100292 – Fax : + 359 2 971 0702 – Email : [email protected] – www.brima.biz

DARIM - DI's Risk Management ForeningDK-1787 Copenhagen – DENMARKTel : + 45 33 77 33 77 – Fax : + 45 33 77 33 00 – Email : [email protected] – www.di.dk

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GERMANYTel : + 49 228 98 22 30 - Fax: + 49 228 63 16 51- Email : [email protected] – www.dvs-schutzverband.de

FINNRIMA - Finnish Risk Management AssociationTalvikkitie 40 A 33, 01300 Vantaa – FINLANDTel : + 358 9 5607 5361 – Fax : + 358 9 5607 5365 – Email : [email protected] – www.srhy.fi

NARIM - Nederlandse Associatie van Risk en Insurance ManagersP.O. Box 65707 - 2506 EA Den Haag – THE NETHERLANDSTel : + 31 70 345 7426 – Fax : + 31 70 427 3263 – Email : [email protected] – www.narim.com

POLRISK - Polish Risk Management Associationul. Rzymowskiego 30 lok. 424 - 02-697 Warszawa - POLANDTel : + 48 22 331 8121 – Fax : + 48 22 331 81 22 – Email : [email protected] – www.polrisk.pl

RUSRISK - Russian Risk Management SocietyAddress Expert Institute, Staraya Ploshchad 10/4, Moscow, 103070 – RUSSIATel: + 7 495 231 53 56 - Fax : + 7 495 231 53 56 - Email : [email protected] – www.rrms.ru

SIRM - Swiss Association of Insurance and Risk ManagersGutenbergstrasse 1, Postfach 5464, CH-3001 Bern - SWITZERLANDTel : + 41 31 388 87 89 – Fax : + 41 31 388 87 88 – Email : [email protected] – www.sirm.ch

SWERMA - Swedish Risk Management AssociationGränsvägen 15 - SE-135 47 Tyresö - SWEDENTel: + 468 742 13 07 - Fax : + 468 798 83 11- E-mail : [email protected] – www.swerma.se

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: + 44 1395 223399 - Fax: + 44 1395 223304 - Email: [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: + 44 20 7709 9808 - Facsimile + 44 20 7709 0716 - Email: [email protected] - www.theirm.org

DE RISK MANAGEMENT NORM

Documents

Transcript of DE RISK MANAGEMENT NORM